Actus

Les attaquants utilisent des fichiers SVG pour introduire le malware QBot dans les systèmes Windows

Par Philippe Ternision , le 19 décembre 2022 , mis à jour le 19 décembre 2022 - 4 minutes de lecture
microsoft dans le monde
Notez l'article

Une nouvelle technique de distribution pour les campagnes de phishing de logiciels malveillants QBot utilise des fichiers SVG pour faire passer du HTML et produire localement un installateur Windows malveillant.

Cet exploit utilise des fichiers SVG JavaScript intégrés pour désassembler une installation du malware QBot encodée en Base64 que le navigateur de la cible télécharge automatiquement.

Un courriel de phishing transportant le malware Windows QBot charge également d’autres charges utiles, telles que Cobalt Strike, Brute Ratel et ransomware.

Contrebande à base de SVG

Les charges utiles JavaScript qui ont été encodées peuvent être “glissées” à l’intérieur d’une pièce jointe HTML ou d’une page Web à l’aide de la technique de contrebande HTML.

Lorsque le fichier HTML est ouvert, le JavaScript est décodé et exécuté, permettant au script d’effectuer des actions destructrices localement, comme la production d’exécutables de logiciels malveillants.

Grâce à cette stratégie, les acteurs de la menace peuvent passer à travers les pare-feu et les systèmes de sécurité qui surveillent les fichiers nuisibles au niveau du périmètre.

Les chercheurs de Cisco Talos ont repéré une nouvelle tentative de phishing QBot. Il commence par un courriel à chaîne de réponse volé demandant au destinataire de visualiser un fichier HTML joint.

Cette pièce jointe exploite la contrebande HTML, qui dissimule le code malveillant en utilisant une image SVG (scalable vector graphics) codée en base64 qui est insérée dans le HTML.

Base64-encoded SVG file inside the HTML
Fichier SVG codé en base64 à l’intérieur du HTML (Cisco)

Les SVG sont des images vectorielles basées sur XML qui peuvent inclure des éléments HTML script>, ce qui est un aspect authentique de ce format de fichier, contrairement aux types d’images matricielles comme les fichiers JPG et PNG.

L’image est affichée et JavaScript est exécuté lorsqu’un document HTML charge un fichier SVG à l’aide des balises embed ou iframe.

Comme illustré ci-dessous, les analystes de Cisco ont analysé le code JavaScript contenu dans le blob SVG et ont découvert une fonction qui transforme la variable JS intégrée “text” en un blob binaire avant de transformer le blob binaire en une archive ZIP.

Deobfuscated JavaScript code
Code JavaScript désobfusqué (Cisco)

Cisco note que dans ce cas, le logiciel malveillant est construit sur l’appareil de l’utilisateur final par le code JavaScript, qui a été dissimulé dans l’image SVG et qui comprend l’archive zip malveillante complète.

Cette approche de contrebande HTML peut échapper à la détection des dispositifs de sécurité conçus pour filtrer les informations nuisibles en transit, car la charge utile du malware est créée localement sur le poste de travail de la victime et n’est pas transportée sur le réseau.

Pour éviter la détection par les logiciels antivirus, l’archive téléchargée est protégée par un mot de passe, mais le HTML que la victime consulte contient le mot de passe du fichier ZIP.

ZIP download dialog and Adobe HTML showing the password
Dialogue de téléchargement du fichier ZIP et faux HTML d’Adobe affichant le mot de passe (Cisco)

S’il est ouvert, un fichier ISO provoque une infection classique “ISO LNK CMD DLL” ou une version de celle-ci sur l’ordinateur de la victime.

On pense que le fichier SVG permet de dissimuler davantage la charge utile et d’augmenter les chances d’échapper à la détection lorsque le code malveillant est dissimulé dans une pièce jointe HTML.

Infection chain
Chaîne d’infection (Cisco)

Bloquez l’exécution de JavaScript ou VBScript pour les documents téléchargés afin de protéger les systèmes contre les attaques de contrebande HTML.

Une vulnérabilité de Windows que QBot a récemment exploitée a permis à ses pièces jointes de passer à travers les avertissements de sécurité de Mark of the Web, mais Microsoft a rectifié cela hier avec un correctif pour décembre 2022.

 

 

 

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.